ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN. Łukasz Polak Opiekun: prof. Zbigniew Kotulski

Podobne dokumenty
Podstawy MPLS. PLNOG4, 4 Marzec 2010, Warszawa 1

Infrastruktura PL-LAB2020

Metody zabezpieczania transmisji w sieci Ethernet

MPLS VPN. Architektura i przegląd typów. lbromirski@cisco.com rafal@juniper.net. PLNOG, Kraków, październik 2012

VPLS - Virtual Private LAN Service

Materiały przygotowawcze do laboratorium

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

ISP od strony technicznej. Fryderyk Raczyk

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

IP VPN. 1.1 Opis usługi

Wprowadzenie do MPLS*

MPLS. Krzysztof Wajda Katedra Telekomunikacji, 2015

BADANIE BEZPIECZEŃSTWA ZABEZPIECZONEJ USŁUGI MPLS VPN O ZESTAW PROTOKOŁÓW IPSEC

Sklejanie VPN (różnych typów)

Zaawansowane metody pomiarów i diagnostyki w rozległych sieciach teleinformatycznych Pomiary w sieciach pakietowych. Tomasz Szewczyk PCSS

Sieci komputerowe - administracja

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

ZiMSK. VLAN, trunk, intervlan-routing 1

Zapewnienie dostępu do Chmury

MODUŁ: SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Zarządzanie WAN - Integracja sieci LAN, perspektywa i wytyczne dla jednostek PSZ

Paweł Pokrywka, Ispara.pl. multispoof: Zaawansowany mac spoofing w sieciach lokalnych

Analysis of PCE-based path optimization in multi-domain SDN/MPLS/BGP-LS network

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Praktyczne aspekty implementacji IGP

Uproszczenie mechanizmów przekazywania pakietów w ruterach

Bezpieczeństwo mojej sieci O czym pomyśleć zanim będzie za późno Łukasz Bromirski lbromirski@cisco.com

Router programowy z firewallem oparty o iptables

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Translacja adresów - NAT (Network Address Translation)

Wykład 3: Internet i routing globalny. A. Kisiel, Internet i routing globalny

ZiMSK NAT, PAT, ACL 1

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

ZiMSK. mgr inż. Artur Sierszeń mgr inż. Łukasz Sturgulewski ZiMSK 1

Protokoły sieciowe - TCP/IP

Nowa sieć HAWE Telekom. Od L2 do wielousługowej sieci IP/MPLS

WOJEWÓDZTWO PODKARPACKIE

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

Zarządzanie bezpieczeństwem w sieciach

Institute of Telecommunications. koniec wykładu VIII.

Zastosowania PKI dla wirtualnych sieci prywatnych

Zarządzanie ruchem i jakością usług w sieciach komputerowych

Wdrożenie ipv6 w TKTelekom.pl

Bezpieczny system telefonii VoIP opartej na protokole SIP

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

PBS. Wykład Organizacja zajęć. 2. Podstawy obsługi urządzeń wykorzystywanych podczas laboratorium.

Załącznik nr 1 do SIWZ. Numer sprawy: DO-DZP

Podstawy Informatyki. Inżynieria Ciepła, I rok. Wykład 13 Topologie sieci i urządzenia

Sieci komputerowe - opis przedmiotu

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty

Sieci VPN SSL czy IPSec?

KARTA PRZEDMIOTU. Zastosowanie sieci komputerowych D1_6

Zintegrowana oferta usług NASK

Systemy Sieciowe. w Instytucie Informatyki Stosowanej Politechniki Łódzkiej

SPECYFIKACJA TECHNICZNA PRZEDMIOTU UMOWY DOTYCZĄCA CZĘŚCI AKTYWNEJ ŁĄCZA

RUTERY. Dr inŝ. Małgorzata Langer

MPLS. Bartłomiej Anszperger. Co to jest? Z czym to gryźć? Jak i po co myśleć o mechanizmach MPLS we własnej sieci?

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

Opracowanie protokołu komunikacyjnego na potrzeby wymiany informacji w organizacji

System Kancelaris. Zdalny dostęp do danych

OpenContrail jako wtyczka do OpenStacka. Bartosz Górski, Paweł Banaszewski CodiLime

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Spis treúci. Księgarnia PWN: Wayne Lewis - Akademia sieci Cisco. CCNA Exploration. Semestr 3

Projektowanie sieci lokalnej (wg. Cisco)

QoS w sieciach IP. Parametry QoS ( Quality of Services) Niezawodność Opóźnienie Fluktuacja ( jitter) Przepustowość ( pasmo)

Standardy w obszarze Internetu Przyszłości. Mariusz Żal

Zmiany w regulaminach usług transmisji danych i w cenniku usługi Biznesowy VPN

Bezpieczna transmisja danych w układach automatyki zdalna diagnostyka układów

Zarządzanie sieciami WAN

Rozdział 1 Usługa IP VPN z Łączem dostępowym Frame Relay lub ATM standard 1499,00 344, , biznes 1799,00 413, ,77

ZP-92/022/D/07 załącznik nr 1. Wymagania techniczne dla routera 10-GIGABIT ETHERNET

The OWASP Foundation Session Management. Sławomir Rozbicki.

Formularz Oferty Technicznej

OpenStack Neutron Software Defined Networking w prywatnych chmuarch

Szkolenia teleinformatyczne

Problemy z bezpieczeństwem w sieci lokalnej

Załącznik produktowy nr 6 do Umowy Ramowej - Usługa Dostępu do Sieci Internet

ZiMSK. Konsola, TELNET, SSH 1

SDN Narmox Spear Architektura referencyjna do zastosowania kilku połączeń WAN oraz zasada podłączania sieci NIE-SDN do sieci SDN

Technologia WAN Orchestration w projektowaniu i optymalizacji obciążenia sieci. Krzysztof.Konkowski@cisco.com CCIE #20050 RS, SP CCDE #2014::18

Routing i polityka bezpieczeństwa w Śląskiej Akademickiej Sieci Komputerowej

ZST Wykład (lato 2014)

Zdalne logowanie do serwerów

MODELE UDOSTĘPNIANIA SIECI WSPÓŁFINANSOWANYCH Z FUNDUSZY UNIJNYCH

Zarządzanie procesowe w Urzędzie Miasta Lublin. Krzysztof Łątka

Sieci ATM. Sebastian Zagrodzki. Sieci ATM p.1/25

Plan i problematyka wykładu. Sieci komputerowe IPv6. Rozwój sieci Internet. Dlaczego IPv6? Przykład zatykania dziur w funkcjonalności IPv4 - NAT

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

Bandwidth on Demand - wyzwania i ograniczenia. Tomasz Szewczyk tomeks@man.poznan.pl

CCNA : zostań administratorem sieci komputerowych Cisco / Adam Józefiok. Gliwice, cop Spis treści

Unified MPLS. Marcin Aronowski Consulting Systems Engineer Cisco Systems

cennik usługi IP VPN tp Rozdział 1. Usługa IP VPN tp z Łączem dostępowym Frame Relay lub ATM Tabela 1. Tabela 2. Strona 1 z 8

Model sieci OSI, protokoły sieciowe, adresy IP

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

Transkrypt:

ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN Łukasz Polak Opiekun: prof. Zbigniew Kotulski

Plan prezentacji 2 1. Wirtualne sieci prywatne (VPN) 2. Architektura MPLS 3. Zasada działania sieci MPLS VPN 4. Bezpieczeństwo sieci MPLS VPN 5. System do analizy bezpieczeństwa MPLS VPN

Wirtualne sieci prywatne (VPN) 3 Umożliwiają łączność pomiędzy zdalnymi lokalizacjami klienta Wykorzystują infrastrukturę operatora/operatorów Sieć operatora pozostaje transparentna dla klientów Tańsza alternatywa dla dzierżawionych łączy

Rodzaje sieci VPN 4 VPN oparte o aplikacje (OpenVPN, Hamachi) VPN dostarczane przez operatorów (MPLS VPN)

Architektura sieci VPN 5 Router brzegowy dostawcy (PE) Router brzegowy klienta (CE) Router szkieletowy (P) niewidoczny dla klienta

MPLS 6 Mechanizm przełączania pakietów na podstawie etykiet Nagłówek MPLS wstawiany jest pomiędzy nagłówki 2 i 3 warstwy Nagłówki mogą być hierarchiczne, co pozwala realizować różne usługi (VPN, TE) Niezależny od stosowanych protokołów

Zasada działania MPLS 7 Pakiet na brzegu sieci MPLS na podstawie zdefiniowanych kryteriów otrzymuje jedną lub więcej etykiet Węzły wewnątrz sieci MPLS analizują tylko najbardziej zewnętrzną etykietę i na jej podstawie kierują pakiet Routery MPLS mogą wykonywać jedną z operacji: Zdjęcia etykiety (POP) Wstawienia etykiety (PUSH) Podmiany etykiety (SWAP)

Dystrybucja etykiet 8 LDP Prosta konfiguracja Zależny od IGP Większa skalowalność RSVP Niezależny od IGP Możliwe precyzyjne definiowanie LSP Inżynieria ruchowa MP-BGP Przekazywanie informacji o etykietach pomiędzy różnymi AS-ami

Zastosowanie MPLS 9 Inżynieria ruchowa Integracja różnych technologii sieciowych Wirtualne sieci prywatne

MPLS VPN 10 Rodzaje: L3VPN L2VPN VPLS Zasada działania: Pakiet otrzymuje 2 etykiety: zewnętrzna określa router PE do którego jest kierowany ruch, wewnętrzna definiuje VPN do którego powinien trafić pakiet W przypadku L3VPN routery PE posiadają oddzielne tablice routingu dla wszystkich klientów (VRF)

Bezpieczeństwo MPLS VPN 11 Ruch w sieci MPLS nie jest szyfrowany Routery PE są zazwyczaj współdzielone MPLS nie dostarcza żadnych dodatkowych mechanizmów bezpieczeństwa

Ataki na sieć MPLS VPN 12 Podział ataków na sieć VPN ze względu na: Miejsce z którego następuje atak: Z zewnątrz sieci MPLS (Internet, inny VPN) Z wewnątrz sieci MPLS Rodzaj ataku: DoS Nieuprawniony dostęp DoQoS

Ataki spoza sieci MPLS VPN 13 Zgodnie z RFC 2547 routery PE nie powinny wpuszczać z zewnątrz do sieci MPLS pakietów posiadających etykietę zapobiega to możliwości wstrzyknięcia spreparowanych etykiet Routery wewnątrz sieci MPLS nie analizują adresów IP podmiana adresu nie przyniesie atakującemu korzyści Routery P powinny być niewidoczne z zewnątrz Wniosek: jedynym możliwym atakiem na sieć MPLS z zewnątrz jest atak typu DoS na routery PE

Ataki z wewnątrz sieci MPLS VPN 14 Możliwe wszystkie rodzaje ataków, w szczególności nieuprawniony dostęp przechwycenie/wstrzyknięcie ruchu poprzez atak na protokoły dystrybucji etykiet (LDP, RSVP, MBGP) Modyfikacja etykiet pozwala na przekierowanie w sposób niezauważony ruchu poza VPN Ataki na protokół RSVP mogą uniemożliwić szybkie zestawianie LSP o określonych parametrach i uniemożliwić poprawne działanie mechanizmów TE (DoQoS) W transparentnych sieciach L2VPN/VPLS możliwe do wykonania są klasyczne ataki na protokoły L2 poprzez chmurę MPLS : MAC flooding ARP spoofing Ataki na STP, VTP

Cel pracy 15 Implementacja systemu do analizy sieci MPLS VPN i przeprowadzania ataków na sieć MPLS Przetestowanie systemu w sieci laboratoryjnej

16 System do analizy bezpieczeństwa sieci MPLS VPN Założenia: Dostęp do łącza wewnątrz sieci MPLS VPN Brak wiadomości na temat przyporządkowanych etykiet (możliwość przeprowadzenia ataku bez wcześniejszej wiedzy) Dostępne funkcje: Skanowanie ruchu (przechowywanie mapowania etykieta/ip) Przechwycenie/przekierowanie ruchu poprzez zmianę etykiet Modyfikacja sesji MPBGP w celu przekierowania ruchu Ataki na QoS Ataki na L2 poprzez sieć MPLS Testy na sprzęcie (planowane): Cisco 7200 Juniper 2320

Implementacja 17 Język Python 2.6 W chwili obecnej zaimplementowane przeze mnie zostało skanowanie ruchu i podmiana etykiet Do symulacji ataków L2 planuję wykorzystać program yersinia

18 Dziękuję za uwagę

19 Pytania